Starke Passwörter, die keine sind

So bewertet der Passwort-Check dann auch das Passwort 11Golem.de!! als stark. Spoiler: Ist es nicht!

Stellenmarkt
  1. IT-Systembetreuerin/IT-Syste- mbetreuer (m/w/d)
    FFG Fahrzeugwerkstätten Falkenried GmbH, Hamburg
  2. Software Developer (w/m/d)
    Intrum Hanseatische Inkasso-Treuhand GmbH, Hamburg
Detailsuche

Um es zu knacken, brauche ein Rechner 44 Jahre, behauptet das Ministerium für Digitales. Das glaube ich kaum. Bei einem Golem.de-Redakteur wäre das Passwort zumindest unter den Top-50, die ich spontan ausprobieren würde. Immerhin bedient es gängige menschliche Passwortfehler: Es wird ein Begriff verwendet, der im Kontext des Nutzers, des Dienstes oder des Arbeitgebers steht, der am Ende und am Anfang mit Sonderzeichen angereichert wird. Fertig ist das nicht sichere Passwort.

Solche Passwörter muss man natürlich nicht händisch knacken, vielmehr gibt es Software, die genau nach solchen Kontexten zu einer Person fragt und automatisch entsprechende Passwortvarianten mit Sonderzeichen am Anfang, Ende oder als Leetspeak generiert.

Übrigens erkennt der Passwort-Check Golem gar nicht als bekannten Begriff, sondern nur den Wortteil Gol als Name. Wäre auch Letzteres nicht der Fall, würde bereits 1Golem.de! als starkes Passwort gewertet.

Passwortmanager und Schlangenöl

Golem Akademie
  1. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    02./03.06.2022, virtuell
Weitere IT-Trainings

Immerhin rät die Webseite zu einem Passwortmanager und nennt die Open-Source-Software Keepass als Beispiel. Statt sich ein Passwort auszudenken, kann man es dort einfach zufällig generieren lassen und braucht es sich nicht einmal zu merken - das übernimmt der Passwortmanager. Ein guter Tipp.

Allerdings fehlt ein Hinweis auf Zwei-Faktor-Authentifizierung (2FA), mit der Konten zusätzlich geschützt werden können. Zudem fehlt - wie bereits erwähnt - ein prominenter Hinweis darauf, dass Passwörter eine einmalige Angelegenheit sein sollten und nicht das gleiche Passwort bei verschiedenen Diensten verwendet werden sollte. Denn nach einem Datenleck bei einem der Dienste wird das supersichere Passwort möglicherweise geleakt und von Angreifern auch bei anderen Diensten ausprobiert. Eine reale Gefahr.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ebenfalls umstritten ist der Hinweis auf eine aktuelle Antivirensoftware, welche den Rechner und damit die Passwörter schützen soll. Doch diese haben allzu oft selbst mit Sicherheitslücken zu kämpfen und bringen die Nutzer nicht selten in Gefahr. Unter Sicherheitsexperten gelten die Programme daher als wirkungsloses Schlangenöl, das für teuer Geld oder gegen Kryptomining oder Nutzerdaten verscherbelt wird.

Passwortchecken - aber richtig

Statt auf Passwortrichtlinien zu setzen, ist es sinnvoller zu prüfen, ob ein Passwort bereits öffentlich bekannt ist. Eine entsprechende Liste mit knapp 850 Millionen gehashten Passwörtern gibt es auf der Webseite des Leak-Checkers Have I been Pwned. Darin enthalten sind die Passwörter etlicher umfangreicher Datenlecks, die teils öffentlich verfügbar sind.

Entsprechend können Webseitenbetreiber alle Passwörter, die bereits einmal Teil eines Datenlecks waren, verbieten. Auch Nutzer können ihre Passwörter über eine im Browser integrierte Funktion bei Have I been Pwned prüfen lassen. Dazu muss das Passwort weder auf der Have-I-been-Pwned-Seite eingegeben werden, noch schickt der Browser es an den Dienst.

Vielmehr fragt beispielsweise Firefox auf Basis des gehashten Passwortes eine ganze Bandbreite an Passwort-Hashes an und prüft dann lokal, ob der gleiche Passwort-Hash vorhanden ist. So werden weder die Passwörter der Nutzer verraten, noch werden diese dazu erzogen, ihre Passwörter wild auf Webseiten im Internet einzutippen. Mal sehen wie lange es dauert, bis der Stand der Technik auch beim Bayerischen Ministerium für Digitales ankommt.

IMHO ist der Kommentar von Golem.de [IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)]

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Passwort-Check aus Bayern: Bis eben war Ihr Passwort noch sicher
  1.  
  2. 1
  3. 2


keigo 01. Mär 2022

Ich verstehe deinen Satz nicht. Was meinst du mit IMHO? In my humble opinion?

keigo 01. Mär 2022

Ja das bin ich!

My1 26. Feb 2022

definitiv. ich habe sogar ne liste mit ca 17k wörtern (danke 1password für die...

Truster 25. Feb 2022

mehrere Offline Standorte sowie mehrere online Standorte. Zum glück lege ich nicht jeden...



Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /